客户端证书验证

前段时间发现我们线上有台老服务器被入侵了,查看系统日志发现是通过密码扫描的方式暴力破解的,进一步检查发现是因为这台机器依旧开着密码登陆.然后把密码登陆关掉了.其他服务器的配置都是关闭着的.所以没有这个问题.后来发现办公室的开发机被人入侵并且植入了数据监控服务.清理之后发现是因为某位同学把开发机的端口映射到外网了.并且打开了密码验证的登陆方式.现在所有的线上以及线下的机器都关闭了这种方式.

另外我们有网站的管理服务,因为有同学希望在家里也可以办公,所以不能通过简单的添加防火墙来解决,所以只好采用客户端证书验证的方式(相关参考:http://rynop.com/howto-client-side-certificate-auth-with-nginx).给每个相关的同学分发了一个不同的客户端证书,只有这个证书才能访问管理端。拒绝之前的使用密码验证登陆的方式。相信可以安全很多。

再者我们打算给网站的登陆以及注册页面添加ssl支持,这样就能保证用户的密码不被探测到,当然我们服务端储存的肯定不是明文了:)